La base de datos de las web del evento realizado en Cataluña el pasado 1 de octubre, estaría comprometida, por el sistema de duplicación de la web, mediante el protocolo IPFS.

Esta web es de hardware y tecnología y la política (o lo que se supongan que hagan), se la vamos a dejar a los políticos, pero hay algo muy importante acerca del ‘referéndum’ celebrado en Cataluña este pasado fin de semana. El bloqueo del estado español a las páginas web para este evento realizado, obligaron a los organizadores hacer uso del protocolo IPFS, algo que es un error muy grave. Hacer uso de este protocolo ha dejado expuestos los datos de los votantes.

Sergio López (@slp1605, en Twitter), ha destapado este problema y sin ser un profesional tecnológico ni relacionado con temas de seguridad informática. Este usuario se ha dado cuenta que cualquier con su ordenador doméstico, puede ver el nombre, NIF, fecha de nacimiento y todos los datos personales de los votantes del evento del pasado fin de semana. Los datos posiblemente ya han sido obtenidos por muchos avispados, algo que podría llevar a la suplantación de la identidad de los usuarios.

Hacker News se hacía eco del uso de los responsables del evento del 1 de octubre, del sistema InterPlanetary File System o IPFS, algo que llevo a López a buscar más datos. El protocolo ‘hace la web más rápida, segura y abierta’, como se puede leer en la web y que sencillamente, duplica los sitios web, con sus contenidos, códigos y bases de datos, usando a los usuarios que acceden como nodos del sitio web. Para evitar bloqueos, está muy bien, pero el problema es que la base de datos queda expuesta, como explica López. El facilitar el acceso a la base de datos es un gran problema, pero es que el diseño de esta base de datos, hace más simple el ataque potencial y la obtención de la misma.

Las entradas definidas por NIF, fecha de nacimiento y código postal, cuentan con un código generado mediante hash con 1714 interacciones de algoritmo SHA-256. El número de 1714, corresponde al 11 de septiembre de 1714, que fue la fecha en que Barcelona fue conquistada durante la guerra de Sucesión de España, una fecha usada por los afines a la independencia. El uso del hash no es suficiente, ya que las entradas de las bases de datos no han sido cifradas, ni cuentan con salt, que cifra cada una de las entradas para la protección de los datos. Esto hace fácil los ataques, como dice López.

Este usuario además ha comentado que, él, que tiene conocimientos básicos en seguridad y criptografía, ha podido acceder, aseguro que hackers con grandes conocimientos tienen estos datos desde hace un montón de tiempo e invita a los desarrolladores de estas webs, que las quiten por seguridad. Dicho problema de seguridad es muy importante y puede llevar a muchos usuarios a presentar demandas, por no garantizar la seguridad y privacidad de sus datos personales.